Линда Маккарти - IT-безопасность: стоит ли рисковать корпорацией?

Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аутсорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний. Одной из причин столь длительного выздоровления от вируса Code Red является то, что сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились вирусом Code Red, когда «скачивали» те самые обновления для программ, которые должны были защитить их от будущих атак.

Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяющего сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта индустрии программного обеспечения или в облегченном доступе из компании, которой вы доверили ваши операции по перевозкам. Целостность вашей информации зависит от вашей неусыпной бдительности.

А сейчас вы — президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощутите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не знает, как произошел инцидент.

Через несколько дней вы узнаете, как это случилось. По данным вашего министра обороны, брешь в безопасности, облегчившая нападение, была проделана единственным сообщением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехотинец, служивший в охране посольства в Саудовской Аравии, использовал электронную почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопровождать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы договаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка. Обнимаю и целую детишек… Лен».

К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне, его электронное письмо не было зашифровано. Министр обороны твердо убежден, что письмо капрала Джонсона своей жене было перехвачено террористом.

Разве может показаться странным, что капрал посылает домой жене незашифрованное электронное письмо. Повсеместно высшие руководители компаний посылают письма по электронной почте по самым секретным вопросам — о предстоящих биржевых сделках, планах выпуска новых продуктов, слияниях, приобретениях и т д. Нужно ли ожидать от простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого высшие руководители компаний? Рассмотрим следующий случай…

Моя подруга Мишель Шейверс была подающим большие надежды сотрудником в NetDynamics, большой компании по сетевым технологиям в Силиконовой долине. Около года назад Мишель позвонила мне, чтобы поговорить о проблеме, которая у нее возникла с одним из ее коллег.

Так как коллега, о котором идет речь, был руководителем высокого ранга в ее компании, то она никогда не сообщала мне его имени. (Мы назовем его мистер Икс.) Из разговора с ней я поняла, что каждый раз, когда она выступала на совещаниях сотрудников компании, мистер Икс оказывался впереди нее на два шага. Он отвечал на все вопросы так продуманно, что его ответы звучали, как заранее подготовленная речь. Она была убеждена, что он заранее точно знал, что она собиралась сказать.

Мое первое впечатление состояло из трех частей: 1) мистер Икс определенно не любил Мишель; 2) мистер Икс, возможно, хотел прибрать к рукам подразделение Мишель; или 3) мистер Икс пытался (по каким-либо причинам) выжить Мишель из компании. Мне же, наоборот, Мишель нравилась. Она умела добиваться результатов в своей работе и не могла допустить, чтобы кто-то стоял у нее на пути. Поэтому, когда она обратилась ко мне за помощью, я с большим желанием протянула ей свою руку.

Возможно, что в глубине моей души таилось нетерпение запустить поглубже руку в грязные делишки мистера Икс. Но как профессионал по вопросам безопасности я знала, что такая информация мне действительно не нужна.

Мишель спросила: «Линда, этот парень очень подкован технически и общается со многими специалистами в нашей области. Возможно ли такое, что он читает мою электронную почту?»

Хороший вопрос. В ответ я задала Мишель три простых вопроса: «Ты шифруешь свои электронные письма?» — «Нет». «Мистер Икс работает в твоем здании?» — «Да». «Он работает на том же этаже, что и ты?» — «Да».

Я задала последние два вопроса, чтобы выяснить, в одной ли сети с Мишель находится мистер Икс. Я знала, что если Мишель ответит «Да» на любой из этих двух вопросов, то для мистера Икс не составит труда читать ее электронные письма.

Я объяснила ей, что если она не шифрует свою электронную почту, то каждый сможет ее прочитать. Я также пообещала ей, что загляну к ней в компанию и продемонстрирую, как легко это можно сделать.

Мишель очень заинтересовалась такой демонстрацией. Чтение чьей-либо электронной почты являлось явным нарушением политики компании. (Возможно, такая политика есть и в вашей компании.) Оказалось кстати, что Мишель имела полномочия на запуск любых инструментов и тестов в ее сети на этой неделе, так как ее инженеры проводили тестирование нового, только что разработанного ими программного обеспечения. Нельзя было выбрать лучшего времени для моей демонстрации.

Для проведения демонстрации я встретилась с Мишель позднее в тот же день. Задача оказалась несложной. За 30 секунд моего нахождения за ее клавиатурой я «скачала» из Интернета инструмент «снупинга». [53] Snooping — здесь: отслеживание, перехват и декодирование сообщений. — Примеч. пер. Затем я ввела с клавиатуры команду, запускающую выполнение «скачанной» программы, и все дела! Появилось первое почтовое сообщение. Как только челюсть Мишель отвисла до пола от изумления, вызванного тем, как просто это было сделано, я отвернулась от экрана. Я дала ей понять, что за все годы моего занятия аудитом безопасности я не прочитала ни строчки из закрытой персональной информации.

Когда я провожу аудит безопасности, то просматриваю только имена важных файлов и каталогов при проверке риска, но никогда не заглядываю в содержимое файлов.